Server ohne IPV6 DNS-Eintrag nicht mehr erreichbar

cosi

Seit etwa 2 Tagen geht bei einem Swisscom-Kunden, den ich betreue, der Internet-Zugriff auf einzelne Web-Services nicht mehr. Unterdessen konnten wir das Problem soweit isolieren, dass Server, die einen IPv6 DNS-Eintrag haben, funktionieren und Server, die nur einen IPv4 DNS-Eintrag haben, nicht funktionieren.

Beispiel eines erreichbaren Servers:

> host search.ch

search.ch has address 195.141.85.90
search.ch has IPv6 address 2001:1702:3::3:90

Beispiel eines nicht erreichbaren Servers:

> host bluewin.ch
bluewin.ch has address 195.186.145.90
bluewin.ch has address 195.186.196.90

Die Zugriffs-Probleme sind nicht auf eine Browser-Software beschränkt, sondern auf alle Anwendungen mit Netzwerk-Zugriff (verschiendene Browser, Mail, Netzwerk-Utilities, Terminal, etc).

Zur Konfiguration:

Router: PIrelli Centro Grande

Client: Mac OS X 10.6.8, direkt angeschlossen via Ethernet (Wireless inaktiv)

Wir haben schon alles mögliche ausprobiert: DNS-Cache auf dem Client gelöscht, Router neu gestartet, DHCP/statisch gewechselt, IPv6 im Kundencenter aus-/eingeschaltet, IPv6-Firewall auf Router und Firewall auf Client ausgeschaltet, usw. aber das Problem bleibt hartnäckig bestehen. Einige interessante Beobachtungen: Man kann Server, die nur einen IPv4 DNS-Eintrag haben, vom Router-Admin-GUI aus erfolgreich pingen, aber nicht vom Client aus. Wenn man IPv6 ausschaltet (auf dem Router oder auf dem Client), geht gar nichts mehr. Der Remote-Zugriff auf den Router, resp. via Timbuktu auf den Client ist trotzdem immer möglich. Wenn man die Testseite ipv6.test-ipv6.com aufruft, kommt (bei aktiviertem IPv6) u.a. die Meldung: "Es scheint als könnten Sie nur IPv6 Internetverbindungen herstellen." Der Eintrag anderer DNS-Server im IPv4 Format auf dem Client bringt nichts; es scheint, dass diese im Router blockiert werden (der oben gezeigte host-Befehl funktioniert nur, wenn der DNS-EIntrag des Clients auf den Router zeigt).

Irgendwas mit DNS-Proxy auf dem Router? Aber dazu gibt's ja gar kein Setting auf dem Router. Den Pirelli-Router gegen ein Motorola-Modell austauschen?

Das ganze Problem entstand aus dem nichts, ohne bekannte Client-seitige Manipulation. Der Swisscom-Support war freundlich, aber ratlos...

Danke im Voraus für hilfreiche Tips!

PowerMac

Was ist der Output von ~"ipconfig /all"~ "ifconfig" auf dem betroffenen Rechner, bzw. wie ist die IPv4-Adresse? Statisch oder DHCP? Kannst du auf die Router-IPv4 pingen?

(Edit: du hast ja OSX, nicht Windows)

cosi

Hallo PowerMac

Sorry, ich war einige Tage weg, und konnte den Rechner mit dem Problem nicht erreichen. Hier ist der ifconfig-Output:

$ ifconfig
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> mtu 16384
inet6::1 prefixlen 128
inet6 fe80::1%lo0 prefixlen 64 scopeid 0x1
inet 127.0.0.1 netmask 0xff000000
gif0: flags=8010<POINTOPOINT,MULTICAST> mtu 1280
stf0: flags=0<> mtu 1280
en1: flags=8863<UP,BROADCAST,SMART,RUNNING,SIMPLEX,MULTICAST> mtu 1500
ether 00:1d:4f:f9:8c:42
media: autoselect (<unknown type>)
status: inactive
en0: flags=8863<UP,BROADCAST,SMART,RUNNING,SIMPLEX,MULTICAST> mtu 1500
ether 00:1b:63:a4:00:c0
inet6 fe80::21b:63ff:fea4:c0%en0 prefixlen 64 scopeid 0x5
inet 192.168.1.36 netmask 0xffffff00 broadcast 192.168.1.255
inet6 2a02:120b:c3e4:6ce0:21b:63ff:fea4:c0 prefixlen 64 autoconf
media: autoselect (100baseTX <full-duplex,flow-control>)
status: active
fw0: flags=8863<UP,BROADCAST,SMART,RUNNING,SIMPLEX,MULTICAST> mtu 4078
lladdr 00:1d:4f:ff:fe:62:00:96
media: autoselect <full-duplex>
status: inactive

Die IPv4-Adresse des Client ist 192.168.1.36, die des Routers 192.168.1.1

Im Moment ist die IPv4-Adresse des Client statisch eingestellt, aber hier haben wir schon beides versucht; es hat keinen Unterschied gemacht.

Den Router kann ich vom Client aus mit seiner IPv4-Adresse pingen. Ansonsten kann ich vom Client aus im Moment eigentlich nichts pingen (auch nicht Server mit IPv6-DNS-Eintrag, auf die ich per Browser zugreifen kann). Aber vom Router aus kann ich 'alles' pingen.

Danke & Gruss,

cosi

PowerMac

OK. Und das Default-Gateway sowie den DNS-Server auf dem Mac hast du auf 192.168.1.1 konfiguriert?

Zum Pingen von IPv6-Hosts musst du unter OSX den Befehl "ping6" verwenden, also z.B. "ping6 [www.swisscom.ch".](http://www.swisscom.ch".)

Was ist der Output von "traceroute [www.swisscom.ch"?](http://www.swisscom.ch"?) Und von "netstat -rn"?

cosi

Genau, Gateway und DNS-Server sind auf 192.168.1.1 eingestellt. Beim DNS-Server-Eintrag habe ich testweise zusätzlich noch die beiden Swisscom-Server (195.186.1.162 und.4.162) eingestellt, sowie die beiden Google-Server (im IPv4 Format und im IPv6 Format). Aber entscheidend scheint nur der Eintrag zu sein, der auf den Router zeigt.

Das mit ping6 wusste ich nicht, danke. Ja, mit ping6 kann ich www.swisscom.ch auch vom Client aus pingen.

traceroute www.swisscom.ch bleibt beim Router stecken, aber traceroute6 (hab ich einfach mal analog zu oben ausprobiert) geht:

$ traceroute www.swisscom.ch
traceroute to www.swisscom.ch (193.222.73.227), 64 hops max, 52 byte packets
1 192.168.1.1 (192.168.1.1) 1.223 ms 0.787 ms 0.824 ms
2 * * *
3 * * *
4 * * *
5 * * *
6 * * *
7 * * *
8 * * *
9 * * *
10 * * *

$ traceroute6 www.swisscom.ch
traceroute6 to www.swisscom.ch (2a02:a90:ffff:ffff::c:10) from 2a02:120b:c3e4:6ce0:21b:63ff:fea4:c0, 64 hops max, 12 byte packets
1 dynamic.wline.6rd.res.cust.swisscom.ch 0.529 ms 0.588 ms 1.029 ms
2 6rd-br.res.cust.swisscom.ch 25.985 ms 26.109 ms 26.115 ms
3 zhh-000-ten1-4.ip6.ip-plus.net 26.187 ms 26.737 ms 31.862 ms
4 zhh-111-ten4-4.ip6.ip-plus.net 27.365 ms 28.038 ms 31.311 ms
5 2001:918:101:1::13 29.279 ms 28.899 ms 29.010 ms
6 2a02:a90:ffff:ffff::c:10 29.127 ms 29.061 ms 29.281 ms
$

Output von netstat -rn:

$ netstat -rn
Routing tables

Internet:
Destination Gateway Flags Refs Use Netif Expire
default 192.168.1.1 UGSc 16 51 en0
127 127.0.0.1 UCS 0 0 lo0
127.0.0.1 127.0.0.1 UH 1 12 lo0
169.254 link#5 UCS 0 0 en0
192.168.1 link#5 UCS 2 0 en0
192.168.1.1 dc:b:1a:cc:41:b3 UHLWI 21 300 en0 1153
192.168.1.36 127.0.0.1 UHS 0 1 lo0
192.168.1.255 ff:ff:ff:ff:ff:ff UHLWbI 0 6 en0

Internet6:
Destination Gateway Flags Netif Expire
default fe80::de0b:1aff:fecc:41b3%en0 UGSc en0
::1::1 UH lo0
2a02:120b:c3e4:6ce0::/64 link#5 UC en0
2a02:120b:c3e4:6ce0::1 dc:b:1a:cc:41:b3 UHLW en0
2a02:120b:c3e4:6ce0:21b:63ff:fea4:c0 0:1b:63:a4:0:c0 UHL lo0
fe80::%lo0/64 fe80::1%lo0 Uc lo0
fe80::1%lo0 link#1 UHL lo0
fe80::%en0/64 link#5 UC en0
fe80::21b:63ff:fea4:c0%en0 0:1b:63:a4:0:c0 UHL lo0
fe80::de0b:1aff:fecc:41b3%en0 dc:b:1a:cc:41:b3 UHLW en0
ff01::/32::1 Um lo0
ff02::/32::1 UmC lo0
ff02::/32 link#5 UmC en0

Danke & Gruss,

cosi

PowerMac

Schräg. Irgendwie klingt alles danach, dass das Default-Gateway nicht korrekt konfiguriert wäre, aber das scheint ja nicht der Fall zu sein und die Default-Route ist drin. Kannst du mal testweise die Firewall disablen? Evt. hat sich dort etwas aufgehängt.

Andere Computer im gleichen Netz haben diese Probleme nicht? Routerneustart und -reset schon probiert?

cosi

Ja, es ist wirklich seltsam. Die Firewall ist schon ausgeschaltet, sowohl auf dem Router (dort kann man ja nur die IPv6 Firewall abschalten) als auch auf dem Client.

Im Netz gibt es nur diesen Computer. Ich bin leider nicht vor Ort (Fern-Wartung erfolgt via Timbuktu), sonst könnte ich mit meinem Laptop probieren. Aber vielleicht muss ich mit einem Nachbarn probieren.

Router-Neustart haben wir schon diverse Male gemacht, inkl. Bezug einer neuen IP-Adresse; einmal (zusammen mit dem Swisscom-Support) auch mit 30 Sekunden Stromkabel weg. Hat alles nichts gebracht. Einen Reset habe ich noch nicht gemacht, da ich mit einem Zurücksetzen auf die Werkeinstellungen meinen Remote-Wartungs-Zugang verlieren werde. Ich könnte ihn vielleicht zusammen mit dem Benutzer wiederherstellen, aber der ist unterdessen bald 84 und Anweisungen im Blindflug per Telefon sind schwierig.

Aber wahrscheinlich bleibt mir nicht viel anderes übrig, als das mal zu riskieren und sonst allenfalls noch hinzugehen. Falls ein Reset was bringt, besteht aus meiner Sicht immer noch die Gefahr, dass das plötzlich 'aus dem nichts' wieder passiert. In einigen halbwegs ähnlichen Foren-Beiträgen habe ich gelesen, dass der Austausch des Pirelli-Routers durch ein Motorola-Modell geholfen hat. Ideal wäre, wenn jemand von der Swisscom mit einem Ersatzgerät hingehen würde. Muss wohl nochmals beim Support anrufen.

Ich muss für heute Schluss machen und werde morgen Abend nochmals schauen. Danke schon mal für die Hilfe!

Gute Nacht,

cosi

WalterB

Bin mir nicht ganz sicher ob dass das gleiche Problem ist, hatte bei meinen Windows PC feste IP-Adressen vergeben und die DNS von Swisscom.

Seid einigen Wochen hatte ich immer wieder Probleme mit dem Firefox auf diesen PC, bei den Apple Geräte nicht.

Habe jetzt gestern festgestellt das ich bei meinen iMac auch eine feste IP-Adresse gegeben habe, aber anstelle der Swisscom DNS die Gateway Adresse 192.168.1.1 vom Centro Grande.

Früher waren bei den Router feste DNS Adressen angegeben und seid einiger Zeit sind diese beim Router auf Automatisch beziehen eingestellt.

Jedenfalls habe ich bei allen Geräte mit den festen IP-Adressen anstelle der DNS von Swisscom die Gateway 192.168.1.1 Adresse eingegeben und es funktioniert ohne Probleme, auch das Problem beim Firefox mit dem Speed ist behoben.

cosi

Hallo WalterB

Danke für den Input. Mir ist auch aufgefallen, dass Client-seitig unbedingt der Router als DNS-Server eingetragen sein muss. Auf dem Router habe ich automatisch zuweisen und manuell (in verschiedenen Kombinationen) probiert; das machte eigentlich keinen Unterschied.

Mein Problem ist ja nicht eigentlich ein DNS-Problem. Die Adressen werden aufgelöst (wenn der DNS-Server des Client auf den Router zeigt). Aber nur Verbindungen mit IPv6 kommen noch zustande, IPv4-Verbindungen nicht mehr. Ich glaube nach wie vor, dass das Problem auf dem Router ist, da ab Router auch IPv4-Verbindungen pingbar sind.

Gibt es irgend eine Möglichkeit, DNS-Proxy-Einstellungen auf dem Router ein-/umzustellen? Via Webinterface des Routers ist das nicht möglich. Ansonsten weiss ich im Moment nicht mehr als Reset oder Austausch des Routers.

Gruss,

cosi

GrandDixence

Moderne Betriebsysteme bevorzugen IPv6 vor IPv4, wenn:

a) Der Rechner eine globale IPv6-Adresse erhalten hat (bei Swisscom DSL dank 6rd der Fall -> 2a02🙂.

b) Der DNS-Server eine IPv6-Adresse liefert (bei search.ch der Fall)

---------------------

Im geschilderten Fall funktioniert die Internetverbindung per IPv6, aber nicht per IPv4. Da der Router die IPv4-DNS-Servern der Swisscom verwendet, funktioniert die IPv4-Verbindung bis zum Router. Was nicht funktioniert, ist der IPv4-Transport von der Router-Schnittstelle "internes Netzwerk" (192.168.1.1) bis zur Schnittstelle der Internetverbindung (DSL) oder der IPv4-Transport von der Router-Schnittstelle Internetverbindung zur Schnittstelle "internes Netzwerk" -> Routing- oder Firewallproblem.

Der grosse Unterschied zwischen IPv6 und IPv4 ist der:

- IPv4 benötigt NAT.

- IPv6 benötigt kein NAT.

NAT wandelt die IPv4-Adresse der IPv4-Datenpakete vom internen Netzwerk (192.168.1.x) in die IPv4-Adresse der DSL-Schnittstelle des Routers um, zum Beispiel 195.5.4.1. Auf dem Rückweg wird die IPv4-Adresse des vom Internet herkommenden Datenpakets mit der IPv4-Adresse der Router-Schnittstelle des internen Netzwerk (192.168.1.1) ersetzt. Ist NAT ausgeschaltet, gelangen keine IPv4-Datenpakete vom Internet ins interne Netzwerk und umgekehrt!

---------------

Bei der Konfiguration "DNS-Server-IP-Adressen -> automatisch zuweisen" UND "IP-Adressen automatisch beziehen" UND "DNS-Serveradressen automatisch beziehen" wird dem Rechner über DHCP die IP-Adresse(n) der DNS-Server mitgeteilt:

1.) Rechner wird gestartet. => Rechner hat keine IPv4-Adresse.

2.) Rechner fordert seine IPv4-Adresse mit einer DHCP-Abfrage beim Router an (im Router läuft der DHCP-Server)

3.) Router weist dem Rechner in seiner DHCP-Antwort eine IPv4-Adresse, Subnetzmaske, Gateway-Adresse und IP-Adressen der DNS-Server zu.

4.) Rechner übernimmt die Angaben aus der DHCP-Antwort vom Router.

Diese automatischen IP-Adresszuweisungen und DNS-Serveradresszuweisungen sollte man eigentlich nie ausschalten, ausser man weiss genau was man macht! + man hat Lust auf Ärger und Probleme 😉

cosi

Hallo alle zusammen

Vorab danke an GrandDixence für den informativen Beitrag. Einfach nochmals zur Eingrenzung der Ursache: Weder am Client noch am Router wurde ursprünglich durch den Benutzer etwas verstellt (die Settings sind geschützt); erst während des Troubleshootings durch mich.

Ich habe nun doch via GUI einen Reset auf die Werkeinstellungen gemacht (nachdem ich dem betagten Benutzer vorher eine kleine Anleitung gemacht habe, wie er mir den Fernzugriff auf den Router wieder aktivieren kann). Und siehe da: Jetzt läuft alles wieder OK. Am Client selber musste nichts umgestellt werden. Also muss irgendwas auf dem Router 'passiert' sein, das die IPv4-Probleme ausgelöst hat. Der Firewall auf dem Router kann es meiner Meinung nach nicht sein, da dieser - wenn ich nichts falsch verstanden habe - nur für den IPv6-Traffic gilt. Andere Threads zu ähnlichen Problemen erwähnen DNS-Proxy-Settings auf dem Router, aber die kann man nicht via Webgui einstellen/zurücksetzen.

Was bleibt sind ungute Gefühle: Weshalb ist das passiert, und wann wird es das nächste mal passieren, resp. wie kann man ein nächstes mal verhindern? Meine provisorische Antwort darauf für den Moment: Abwarten, und wenn es wieder passiert, den Router austauschen.

Danke nochmals an alle für den diversen Input & freundliche Grüsse,

cosi